一、产品由来
为了全面解决重要信息系统防止来自外部及内部用户攻击的问题,中软华泰在对攻击手段及传统安全产品详尽分析的基础上,经过多年研发,推出了“节点”系列的操作系统加固产品:“节点—操作系统安全加固”。该产品以安全管理中心策略控制为核心,以终端安全为基础,通过对现有操作系统进行安全增强,使得管理员能够对终端进行集中管理和控制,保证信息系统始终在可控状态下运行,从而从根源上有效抑制对信息系统安全的威胁,最终达到防止内部用户以及外部用户攻击的目的。
二 、功能摘要
身份鉴别:提供双因子身份认证,用户拥有合法的USB-KEY,并且输入正确的终端操作系统口令+ USB-KEY口令,才能登录终端;当授权用户离开时,提供拔KEY锁屏功能。
执行程序可信度量:通过可信度量技术,禁止非授权及不符合预期的程序启动,实现终端对于已知/未知病毒、木马、攻击程序等恶意代码自免疫,弥补杀毒软件的滞后性问题。
可信代码防篡改 :对于信任代码的实时保护,禁止任何非法的破坏和修改行为,保护可信代码的完整性和可用性不被破坏
程序安装控制:控制程序安装行为,禁止非法的程序安装行为。
自主访问控制:提供文件保密柜功能,保护终端中存放的私有信息不会泄露。
强制访问控制 :提供对主体(用户 )及客体(文件、目录、移动介质等)进行安全标识,根据客体类型的不同,分别制定了不同的访问控制规则,控制用户行为,严格规定“谁”可以“做什么”。
网络访问控制:提供网络访问控制,管理员可以规定哪个终端可以与受保护终端系统进行通信;支持终端对URL的访问控制、对IP地址的访问控制、对进程访问网络的控制。
数据完整性保护:通过对文件的访问控制,实现对重要数据的完整性保护,禁止恶意篡改行为。
数据保密性保护:通过基于硬件USB-KEY的加密算法实现对于重要数据的加密保护,实现即使终端重要数据被盗取,数据盗取者也“看不懂”的效果。
移动介质权限管理:移动介质在使用之前都需经过授权,未经授权的移动介质一律禁止使用。对于已授权的移动介质进行标记管理,对其使用行为进行全程的控制,严格控制移动介质的使用行为。
移动介质信息加密保护:提供对移动介质的加密保护,加解密动作对用户和应用透明。
管理员职责分离:引入以下三个管理员角色:系统管理员、安全管理员和安全审计员。根据最小权限原则,赋予每个管理员完成任务所需最小权限,使得管理员之间相互制约、各司其职,共同保障终端系统安全。
行为监控审计:任何行为都有证可查,达到非法行为“赖不掉”的效果。
三、产品实现效果
“节点-操作系统安全加固”产品通过构建全系统统一的“安全管理中心”,对信息系统中的所有终端进行统一管理、统一配置,审计信息统一存储、统一分析,构建信息系统的整体安全防线,有效保护信息系统中的终端及信息安全。
管理员通过规定“哪个用户可以登录哪个终端”以及“哪个终端可以接入网络”,确保非授权用户无法访问内网资源;通过规定终端上的用户“能够做什么,不能做什么”,只赋予其完成任务的最小权限,从而防止重要信息被外泄;通过强制要求终端“在存储过程中对重要信息加密”,从而确保即使重要信息被盗取,信息盗取者也无法获取信息明文;通过确定终端“软件栈的状态,即用户可执行什么软件,软件满足什么样的完整性状态才能被执行”,从而确保恶意代码无法入侵终端,系统环境无法被修改;通过规定“什么样的行为需要纳入审计行列”,从而确保恶意行为痕迹无法被破坏,以方便事后追查。因此管理员通过制定安全策略,对系统中的终端进行集中管理和控制,“节点-操作系统安全加固”产品构建了非授权用户“进不来”、“拿不走”、“看不懂”、“改不了”、“赖不掉”的整体安全防御体系,系统能够达到防失窃密、防系统破坏、确保系统可用的目的,如下图所示:
四、产品特色
先进的设计理念:以可信计算为基础,访问控制为核心,构建终端整体安全防御体系,实现“防失窃密”、“防系统破坏”、“确保系统可用”的安全目标。
先进的管理体系:采用三权分立的管理体系,为终端系统设置“保卫部”、“保密室”和“监控中心”,实现对整个终端系统的统一管理。
构建整体安全防线:构建全系统统一的“安全管理中心”,对系统中的所有终端进行统一管理、统一配置,审计信息统一存储、统一分析,构建一道针对整个信息系统的整体安全防线,有效保护系统中的信息安全。
恶意代码自免疫:通过执行程序可信度量实现终端对已知/未知病毒、木马、攻击程序等恶意代码自免疫。
应用安全隔离:通过对执行程序的访问控制、对用户行为的访问控制、对网络的访问控制、对重要数据的访问控制,达到对应用进行“安全隔离”的效果。
透明支持应用:兼容现有系统的全部应用,安装部署后不改变用户现有应用。
优化的加解密机制:基于硬件的透明加解密,占用系统资源少、安全性高、对用户透明。
足够的安全强度:产品所有安全机制在操作系统内核层实现,拥有足够的安全强度。
五、产品资质
节点-操作系统安全加固销售许可证
节点-操作系统安全加固软件著作权登记证书
|
